viernes, 19 de noviembre de 2021

LIMITACIÓN DE DERECHOS EN RELACIÓN CON EL TRATAMIENTO DE DATOS PERSONALES EN EL MARCO DEL FUNCIONAMIENTO DE LA AGENCIA DE LOS DERECHOS FUNDAMENTALES DE LA UNIÓN EUROPEA.

  Por: Carlos FERREYROS SOTO

        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc.
 Institut Agronomique Méditerranéen

        cferreyros@hotmail.com

SINTESIS

La presente Decisión establece las normas relativas a las condiciones en las que la Agencia, en el marco de sus procedimientos establecidos en el apartado 2 del presente artículo, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, 35 y 36, y también del artículo 4 del Reglamento (UE) 2018/1725 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE,

Artículo 4 Principios relativos al tratamiento de datos personales

1.   Los datos personales serán:

a)  tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

 

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 13, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

 

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

 

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

 

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 13, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

 

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

de conformidad con el artículo 25 de dicho Reglamento:

 Artículo 25 Limitaciones

1.   Los actos jurídicos adoptados con arreglo a los Tratados o, en cuestiones relacionadas con el funcionamiento de las instituciones y organismos de la Unión, las normas internas establecidas por estos últimos podrán limitar la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a) la seguridad nacional, el orden público o la defensa de los Estados miembros;

 

b) la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

 

c) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

 

d) la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica;

 

e) la protección de la independencia judicial y de los procedimientos judiciales;

 

f) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

 

g) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c);

 

h) la protección del interesado o de los derechos y libertades de otros;

 

i) la ejecución de demandas civiles.

2.   En particular, cualquier acto jurídico o norma interna indicados en el apartado 1 contendrá, en su caso, disposiciones específicas relativas a:

a) las finalidades del tratamiento o de las categorías de tratamiento;

 

b) las categorías de datos personales;

 

c) el alcance de las limitaciones establecidas;

 

d) las garantías para evitar accesos o transferencias ilícitos o abusivos;

 

e) la determinación del responsable o de categorías de responsables;

 

f) los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza, alcance y objetivos del tratamiento o las categorías de tratamiento; y

 

g) los riesgos para los derechos y las libertades de los interesados.

3.   Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos, el Derecho de la Unión, que puede incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento, podrá establecer excepciones a los derechos reconocidos en los artículos 17, 18, 20 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y que esas excepciones sean necesarias para alcanzar esos fines.

4.   Cuando se traten datos personales con fines de archivo en interés público, el Derecho de la Unión, que puede incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento, podrá establecer excepciones a los derechos reconocidos en los artículos 17, 18, 20, 21, 22 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y que esas excepciones sean necesarias para alcanzar esos fines.

5.   Las normas internas mencionadas en los apartados 1, 3 y 4 serán actos de aplicación general claros y precisos, destinados a producir efectos jurídicos respecto de los interesados, adoptados al nivel de gestión más elevado de las instituciones y organismos de la Unión y deben ser objeto de su publicación en el Diario Oficial de la Unión Europea.

6.   En caso de que se imponga una limitación en virtud del apartado 1, se informará al interesado, de conformidad con el Derecho de la Unión, de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.

7.   En caso de que se invoque una limitación aplicada en virtud del apartado 1 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación de la reclamación, solo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.

8.   Podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refieren los apartados 6 y 7 del presente artículo y el artículo 45, apartado 2, si dicha comunicación dejase sin efecto la limitación impuesta sobre la base del apartado 1 del presente artículo.

__________________________________________________________

DECISIÓN DEL CONSEJO DE ADMINISTRACIÓN

sobre las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Agencia de los Derechos Fundamentales de la Unión Europea, por la que se deroga la Decisión del Comité Ejecutivo 2019/05 de 27 de septiembre de 2019

EL CONSEJO DE ADMINISTRACIÓN DE LA AGENCIA DE LOS DERECHOS FUNDAMENTALES DE LA UNIÓN EUROPEA,

Vistos:

El Tratado de Funcionamiento de la Unión Europea,

El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) [en lo sucesivo, el «Reglamento (UE) 2018/1725»], y, en particular, su artículo 25,

El Reglamento (CE) n.o 168/2007 del Consejo, de 15 de febrero de 2007, por el que se crea una Agencia de los Derechos Fundamentales de la Unión Europea (2), y en particular su artículo 13,

Visto el dictamen del SEPD de 19 de mayo de 2019 y el documento de orientación del SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas,

Considerando lo siguiente:

(1)

La Agencia de los Derechos Fundamentales de la Unión Europea (en lo sucesivo la «FRA o «la Agencia») desarrolla sus actividades con arreglo al Reglamento (CE) n.o 168/2007.

(2)

De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por la FRA cuando no estén fundamentadas en actos jurídicos adoptados con arreglo a los Tratados.

(3)

Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de una limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados.

(4)

Cuando la Agencia ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

(5)

En el marco de su funcionamiento administrativo, la FRA puede hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades notificadas a la OLAF, tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) para la prevención del acoso, tramitar reclamaciones internas y externas, realizar auditorías internas y externas, emprender investigaciones a través del delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas en materia de seguridad (informática).

(6)

La Agencia podrá participar en los asuntos sometidos al Tribunal de Justicia de la Unión Europea bien cuando ella remita el asunto al Tribunal, defienda una decisión que ha adoptado y ha sido recurrida ante el Tribunal, o intervenga en asuntos relacionados con sus funciones. En este contexto, es posible que la FRA tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por los intervinientes (partes coadyuvantes).

(7)

La FRA trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, datos de contacto, datos profesionales, datos administrativos, datos recibidos de determinadas fuentes y datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

(8)

La FRA, representada por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la propia FRA al objeto de reflejar las diversas responsabilidades operativas para las operaciones específicas de tratamiento de datos personales.

(9)

Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide tanto el acceso ilícito a personas que no necesiten conocerlos como la transferencia ilícita a estas personas. Los datos personales tratados no se retienen durante un tiempo superior al necesario y al adecuado para los fines para los que estos se hayan tratado durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad y privacidad o los registros de la Agencia.

(10)

Estas normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por la FRA en el ejercicio de sus investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas internas y externas, auditorías internas, investigaciones llevadas a cabo por el RPD en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

(11)

Deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante la supervisión del seguimiento de los resultados de dichos procedimientos. También se deben incluir la asistencia y la cooperación prestadas por la FRA a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.

(12)

En los casos en los que resulten aplicables estas normas internas, la FRA debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.

(13)

En este contexto, la FRA debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los relativos al derecho a la comunicación de información, el acceso y la rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.

(14)

No obstante, la FRA puede verse obligada a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo.

(15)

En consecuencia, la FRA puede restringir la información a los efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

(16)

La Agencia debe controlar de manera periódica que se cumplan las condiciones que justifiquen la limitación y levantar la restricción en cuanto dejen de resultar aplicables.

(17)

A fin de garantizar la máxima protección de los derechos y libertades de los afectados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al DPD a su debido tiempo cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión.

DECIDE:

Artículo 1

Objeto y ámbito de aplicación

1.   La presente Decisión establece las normas relativas a las condiciones en las que la Agencia, en el marco de sus procedimientos establecidos en el apartado 2 del presente artículo, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, 35 y 36, y también del artículo 4 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25 de dicho Reglamento.

2.   En el marco del funcionamiento administrativo de la FRA, esta decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por la Agencia a efectos de: llevar a cabo investigaciones administrativas, procedimientos pre-disciplinarios, procedimientos disciplinarios, suspensiones en virtud del anexo IX del Estatuto de los funcionarios actividades relacionadas con casos de posibles irregularidades notificadas a la OLAF, tramitaciones de casos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitaciones de quejas internas y externas, auditorías internas y externas, investigaciones realizadas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

3.   Esta Decisión también se aplica a las operaciones de tratamiento de datos personales en las que participa la FRA, cuando remite el asunto al Tribunal de Justicia, defiende una decisión que ha adoptado y que ha sido recurrida ante el Tribunal de Justicia, o interviene en asuntos relacionados con sus funciones. En este contexto, es posible que la FRA tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por los intervinientes (partes coadyuvantes).

4.   Las categorías de datos de que se trata son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

5.   Cuando la Agencia ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

6.   Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, la rectificación, la supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones.

Artículo 2

Especificación del responsable del tratamiento y garantías

1.   Las salvaguardas adoptadas para evitar las violaciones de datos, las filtraciones o las revelaciones no autorizadas son las siguientes:

a)

Los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado.

b)

Todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura de acuerdo con las normas de seguridad de la FRA y en carpetas electrónicas específicas a las que únicamente tenga acceso el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados.

c)

La base de datos estará protegida por contraseña en virtud de un sistema de autenticación única y conectada automáticamente al identificador y la contraseña del usuario. Queda terminantemente prohibido que los usuarios intercambien sus datos de identificación. Los registros electrónicos se almacenarán de forma segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan.

d)

Todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad.

2.   El responsable de las operaciones de tratamiento es la FRA, representada por su director ejecutivo, quien podrá delegar la función de responsable del tratamiento de datos. Se informará a los interesados sobre la identidad del responsable del tratamiento delegado por medio de anuncios de protección de datos o de registros publicados en el sitio web o la intranet de la FRA.

3.   El período de retención de los datos personales al que hace referencia el artículo 1, apartado 3, no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de retención especificado en los avisos sobre la protección de datos, las declaraciones de confidencialidad o los registros a los que se hace referencia en el artículo 5, apartado 1.

4.   Cuando la Agencia estudie aplicar una limitación, el riesgo para los derechos y las libertades del interesado deberá sopesarse, en particular, con el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la Agencia, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

Artículo 3

Limitaciones

1.   La FRA será la única que podrá adoptar limitaciones:

a)

De conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h) del Reglamento, cuando se realizan investigaciones administrativas, procedimientos disciplinarios, suspensiones en virtud del anexo IX del Estatuto de los funcionarios actividades relacionadas con casos de posibles irregularidades notificadas a la OLAF;

b)

de conformidad con el artículo 25, apartado 1, letra h del Reglamento, cuando se procesan casos de irregularidades y procedimientos de acoso, de conformidad con sus respectivas normas internas;

c)

de conformidad con el artículo 25, apartado 1, letras c), d) y h del Reglamento, cuando se procesen quejas internas y externas y se realicen auditorías internas y externas en relación con actividades o departamentos de la FRA, las investigaciones efectuadas por el Funcionario de Protección de Datos en línea con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y las investigaciones de seguridad (IT) realizadas internamente o con participación externa (por ejemplo. CERT-EU);

d)

de conformidad con el artículo 25, apartado 1, letra e), del Reglamento cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea;

2.   Como aplicación concreta de los fines descritos en el anterior apartado 1, la Agencia puede aplicar limitaciones en relación con los datos personales compartidos con los servicios de la Comisión o demás instituciones, organismos, agencias y oficinas de la Unión, autoridades competentes de los Estados miembros o de terceros países u organizaciones internacionales, en las siguientes circunstancias:

a)

cuando el ejercicio de esos derechos y esas obligaciones pueda verse restringido por parte de los servicios de la Comisión o demás instituciones, organismos, agencias y oficinas de la Unión, sobre la base de los actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con las actas fundacionales de demás instituciones, organismos, agencias y oficinas de la Unión;

b)

cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda verse limitado por parte de las autoridades competentes de los Estados miembros sobre la base de los actos a los que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3), o en virtud de las medidas nacionales por las que se transponen el artículo 13, apartado 3; el artículo 15, apartado 3; o el artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (4);

c)

cuando el ejercicio de esos derechos y obligaciones pueda comprometer la cooperación de la Agencia con terceros países u organizaciones internacionales en el desempeño de sus funciones.

Antes de aplicar las limitaciones en las circunstancias mencionadas en el apartado 1, letras a) y b), la FRA consultará a los servicios pertinentes de la Comisión, a las instituciones, organismos, agencias y oficinas pertinentes de la Unión o a las autoridades competentes de los Estados miembros, a menos que para la FRA resulte evidente que la aplicación de una limitación está contemplada en uno de los actos a que se hace referencia en dichas letra s).

3.   Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados, así como respetar el contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.

4.   Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.

5.   Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado. en particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de los demás interesados.

Artículo 4

Participación por parte del responsable de la protección de datos

1.   La FRA hará, sin dilaciones indebidas, participar al responsable de la protección de datos en todos los procedimientos pertinentes establecidos mediante esta decisión y garantizará que la participación de los RPO está documentada. Ello incluirá la documentación por escrito de todas las evaluaciones y dictámenes pertinentes emitidos por el DPD en relación con la aplicabilidad de una limitación a un caso concreto.

2.   En concreto, la Agencia informará al RPD, sin dilaciones indebidas, de toda situación en la que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al RPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al RPD.

3.   El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al RPD el resultado de la revisión solicitada.

4.   El responsable del tratamiento notificará al RPD el levantamiento de las limitaciones.

Artículo 5

Comunicación de información al interesado

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la información en el contexto de las siguientes operaciones de tratamiento:

a)

la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)

las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos (formales e informales) en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

auditorías internas y externas

g)

las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h)

las investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

i)

cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

En los anuncios de protección de datos, las declaraciones de confidencialidad o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet de la FRA, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, la FRA incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de la misma.

2.   Sin perjuicio de lo dispuesto en el apartado 3, cuando resulte proporcionado, la Agencia también notificará de manera individualizada, a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta, cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

3.   Cuando la Agencia limite, total o parcialmente, la comunicación de información a los interesados a que se refiere el apartado 2, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes quedarán registrados. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud del interesado.

4.   La limitación a que se refiere el apartado 3 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.

Cuando los motivos que justifiquen la limitación dejen de ser aplicables, la FRA informará al interesado de los principales motivos en que se haya basado la aplicación de la limitación. Al mismo tiempo, la FRA informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

La FRA revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la indagación o el procedimiento pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar con periodicidad anual la necesidad de mantener cualquier limitación.

Artículo 6

Derecho de acceso del interesado

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de acceso, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)

la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)

las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos (formales e informales) en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

auditorías internas y externas

g)

las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h)

las investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

i)

cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la Agencia deberá circunscribir su evaluación de la solicitud únicamente a dichos datos personales.

2.   Cuando la FRA limite, en su totalidad o en parte, el derecho de acceso al que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las siguientes medidas:

a)

informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de la misma, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;

b)

documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.

La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.

La FRA revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación pertinente. Posteriormente, el responsable del tratamiento deberá supervisar con periodicidad anual la necesidad de mantener cualquier limitación.

3.   La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes quedarán registrados. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud del interesado.

Artículo 7

Derecho de rectificación, supresión y limitación del tratamiento de datos

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)

la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)

las actividades relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos (formales e informales) en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

auditorías internas y externas

g)

las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h)

las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-EU);

i)

cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

2.   Cuando la Agencia limite, total o parcialmente, la aplicación del derecho a la rectificación, supresión o limitación del tratamiento a que se refieren el artículo 18; el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y las consignará de conformidad con lo dispuesto en su artículo 6, apartado 3.

Artículo 8

Comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)

la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)

las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos (formales e informales) en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

auditorías internas y externas

g)

las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h)

las investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

i)

cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

2.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)

la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)

las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos formales en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

g)

cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

3.   Cuando la Agencia limite la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones electrónicas a que se refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725, deberá anotar y registrar los motivos de la limitación de conformidad con lo dispuesto en el artículo 5, apartado 3, de la presente Decisión. Será de aplicación el artículo 5, apartado 4, de la presente Decisión.

Artículo 9

Disposición final

Decisión del Consejo Ejecutivo de la FRA 2019/05 de 27 de septiembre de 2019 sobre las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Agencia de los Derechos Fundamentales de la Unión Europea (2019/C 371/06).

Artículo 10

Entrada en vigor

La presente Decisión entrará en vigor el tercer día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Viena, el 24 de septiembre de 2021.

Por la Agencia de los Derechos

Fundamentales de la Unión Europea

Elise BARBÉ

Presidenta del Consejo de Administración


(1)  DO L 295 de 21.11.2018, p. 39.

(2)  DO L 53 de 22.2.2007, p. 1.

(3)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(4)  Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).


No hay comentarios:

Publicar un comentario